Cyberattaques : les professionnels libéraux se protègent-ils suffisamment?
En 2023, plus de la moitié des entreprises françaises ont subi au moins une cyberattaque et le nombre d’entreprises victimes de moins de dix salariés augmente chaque année. Perte de données sensibles, paralysie des opérations, dommage réputationnel... Les enjeux sont considérables et les petites structures ont tendance à sous-estimer les risques.
Le point avec Maître Gérard Haas, avocat spécialisé en droit du numérique et de la propriété intellectuelle, sur ce paysage des menaces cybernétiques en progression constante.
Comment évaluez-vous la situation actuelle en matière de cybersécurité au sein des petites entreprises et des professions libérales en particulier ?
Le constat me semble alarmant : de nombreuses entreprises sous-estiment les risques liés aux cyberattaques. Cette négligence peut être le résultat d'un manque de ressources ou de moyens financiers mais elle résulte aussi d’une prise de conscience insuffisante des dangers potentiels. Les professions libérales, souvent constituées en structures de petites tailles, sont particulièrement exposées en raison de systèmes de sécurité moins élaborés. Or, ces mêmes professionnels - avocats, experts-comptables, médecins, architectes - gèrent des données sensibles et confidentielles qui exigent un niveau de sécurité accru. Les affaires que je traite montrent au contraire la mise en place d’une sécurité très basique, faite de pare-feu, d'antivirus et de sauvegardes. En ce moment, cinq attaques par semaine nous sont remontées. Et je mets en garde sur le mois de mai qui, cette année ne compte qu’une seule semaine complète de travail et se présente donc comme une période propice à l’intensification des attaques.
Quelles sont les enjeux pour les professionnels ?
D’une manière générale, la sécurité technologique est déterminante pour une entreprise quelle que soit sa taille, parce que gage de croissance et de confiance. Le coût d’une récupération de données est à minima de 20 K€ et souvent la période de reprise d’activité dépendant de cette action. La compétitivité de l’entreprise peut être très sérieusement compromise après une cyberattaque en raison des incidences financières mais aussi du dommage réputationnel qui s’ensuit. Lorsque les entreprises font appel à des prestataires, c’est souvent via ces échanges que surviennent les tentatives d’infiltration, d’intrusion et d’exfiltration de données. Le nombre d’attaques ne faisant qu’augmenter, les entreprises ont de plus en plus tendance à sélectionner des prestataires qui offrent des garanties de sécurité informatique robustes. L’article 28 du Règlement Général sur la Protection des Données (RGPD) définit les obligations légales des sous-traitants en matière de traitement des données personnelles, renforçant ainsi cette nécessité de s’assurer que les partenaires et fournisseurs respectent des normes élevées de sécurité des données.
Quel rôle joue l’IA dans ces attaques ?
De part et d’autre, l’intelligence artificielle joue un rôle évidemment de plus en plus essentiel. Du coté des attaquants, tout est désormais possible ou presque, pour créer un contexte réaliste et rendre l’attaque parfaitement crédible. Les mises en scène sont de plus en plus sophistiquées, avec la récupération de données personnelles très ciblées, des voix parfaitement reconstituées, des avatars plus vrais que nature et des messages désormais sans fautes d’orthographes... Du coté des attaqués, l’IA s’avère un outil précieux pour prévenir plus rapidement les attaques grâce à l’analyse du trafic et des comportements suspects. Lorsque la menace est détectée, l’IA est aussi en mesure d’aider la DSI dans la sécurité de son système informatique.
Au vu des cas qui vous sont soumis, y a-t-il des professions qui vous paraissent plus exposées que d’autres ?
Médecins, avocats, notaires, experts-comptables... Ces professionnels manipulent des informations personnelles, juridiques ou financières confidentielles qui en font des cibles privilégiées pour les hackers. Je remarque également que les architectes sont particulièrement exposés. Outre les données personnelles des clients, ils disposent d’informations attrayantes pour les escrocs, comme les plans de conceptions ou des données financières sur de gros projets immobiliers. Par ailleurs, la nature de leur travail implique de multiples échanges interprofessionnels, ce qui augmente encore davantage le risque. Enfin, ils échangent des fichiers de grande taille difficiles à sécuriser et plus facilement interceptables. Mais ces constats valent également pour nombre de professionnels comme les avocats ou les experts-comptables.
Quelles mesures de prévention et bonnes pratiques recommandez-vous aux professionnels libéraux qui ne seraient pas encore suffisamment protégés ?
Beaucoup de petites structures ne réalisent pas qu’elles sont très concernées par les risques de cyberattaques et négligent leur cybersécurité. À leur échelle, elles doivent mettre en place des process permettant de sécuriser leurs datas et garder une vigilance constante, avec des tests réguliers, une formation suivie des collaborateurs et la mise en place de politiques internes de sécurité. La sensibilisation à la cybersécurité est primordiale. Hameçonnage, rançongiciel, fraude au président, si on ne sait pas en quoi cela consiste, on ne peut pas être vigilant. Ensuite, adopter des réflexes basiques mais protecteurs, comme les mots de passe complexes à renouveler régulièrement, l’utilisation de la double authentification (2FA), la vigilance sur les mails reçus et les liens à cliquer. Ensuite, s’équiper, avec l’installation d’un pare-feu et la mise en place de sauvegardes régulières qui permettront à l’entreprise de récupérer les données hackées et de redémarrer son activité plus rapidement après l’attaque. Il est également essentiel de s’assurer de la mise à jour des différents systèmes d’exploitation et logiciels et de tester régulièrement l’efficacité des mesures de sécurité mises en place. Sur tous ces aspects informatiques, le mieux est de se faire assister d’un professionnel qui auditera le système en place et préconisera les mesures de sécurité adaptées. Je conseillerais également d’envisager une assurance spécifique susceptible de prendre en charge la récupération des datas.
Après une cyberattaque, quelles sont les actions juridiques à mener ?
Je dirais qu’il y en a trois à mener en priorité.
Première action, porter plainte. Toute personne victime d’une cyber-attaque peut déposer plainte directement au commissariat de police ou à la gendarmerie, partout en France. En cas d’usurpation d’identité, la plainte laisse une trace utile. Par ailleurs, depuis la loi du 24 janvier 2023 d'orientation et de programmation du ministère de l'intérieur (LOPMI), les clauses de remboursement des cyber-rançons par les assurances sont encadrées. Le remboursement est désormais conditionné au dépôt d'une plainte de la victime dans les 72 heures après connaissance de l'infraction.
Deuxième action, la notification du sinistre à la CNIL ainsi qu'à toutes les personnes victimes (clients) dans les 72 heures, imposée par le RGPD à l’entreprise victime de violation de données et dans le cas où l'incident constitue un risque élevé (violation de mot de passe, de données personnelles sensibles, etc.).
Troisième action, la déclaration du sinistre à son assureur selon les modalités prévues par les conditions de la police d’assurance.
Qu’avez-vous envie de dire aux professionnels libéraux qui nous lisent ?
Beaucoup de petites structures ne réalisent pas qu’elles sont très concernées par les risques de cyberattaques et négligent leur cybersécurité. Or dans le cas de professionnels libéraux qui sont amenés à traiter des données à risque élevé, sensibles ou encore confidentielles pour leurs clients, la façon dont la sécurité de la data est mise en place doit être une question absolument prioritaire. Et peut-être que demain, les exigences des clients des professions libérales réglementées demanderont que le professionnel présente des garanties en adéquation avec sa mission. C’est, à mon sens, une demande qui pourrait s’intensifier.
